本帖最后由 adds 于 2021-2-14 20:24 编辑
一、网络现状
客户的业务分布于两个不同的物理位置,在各自出口透明部署了AF防火墙,防火墙下面是交换机+服务器,服务器均为公网IP地址,服务器的网关关和防火墙的网关指到运营商给的出口设备上。
需求: 1、节约成本:在两个物理机房部署一套运维设备,即LAS、DAS、EDR只部署一套,两个机房的服务器、安全设备、网络设备都接到这上运维平台。 2、区域隔离:管理网和业务网要分开,即,之前服务器的网口不能跑管理的流量。 3、不得新增公网IP地址。 4、所有设备的管理均需要通过SSL VPN进行接入,且只能从一个固定的IP进入。
二、网络规划 1、 规划前网络拓扑:
2、规划后网络拓扑先看下图,简单介绍下情况。
3、设计思路: a.在两个机房分别单臂部署一台SSL VPN设备,两个机房起Sangfor VPN隧道,保证机房一(左)到机房二(右)的网络申通。 b.在每台服务器上新增一条物理链路,这里配置私网IP,用于机房之间设备互通,也作为管理网络使用。其中机房一使用192.168.200.0/24网段,机房二使用192.168.100.0/24网段。 c.在机房一配置SSL VPN,用户从机房一接入VPN,对两个机房的设备进行管理。
二、具体配置 1、机房一 a.AF配置 新增接口Eth3,配置为192.168.200.254。
配置区域:
配置路由: 配置去往192.168.100.0/24网段的回包路由交给VPN设备,配置SSL VPN接入的IP网段2.0.1.0/24的回包路由交给VPN设备。
配置地址转换: 配置一条NAT和三条DNAT,三条DNAT分别为接入VPN的端口、Sangfor VPN使用的UDP 4009和TCP 4009端口。
b.VPN配置 单臂模式部署:
本地子网: 把VPN用户接入的网段告知机房二的VPN设备,使其产生去往2.0.1.0/24网段的路由条目。
修改资源访问模式: 使用分配的虚拟IP作为源地址。
新增“运维组“,并创建好相应的用户。
编辑资源组,将”L3VPN全网资源“修改为”机房一VPN资源",新建“机房二VPN资源”,并关联192.168.100.0/24网段的全部端口。
关联角色:
配置IPSec VPN下的基本设置:
配置IPSec VPN设备下的用户管理:
c.机房一服务器配置 配置服务器的第二块网卡: Vi /etc/sysconfig/network-scripts/ifcfg-em2
配置静态路由: View /etc/sysconfig/network-scripts/route-em2
使用ifdown em2、ifup em2重启网卡。 查看路由:route -n
2、机房二 a.AF配置 新增eth1接口
新增eth1所在的区域
配置路由:
配置地址转换: 配置一条允许DMZ区域的服务器上网的SNAT即可。
b.VPN配置 配置连接管理:
确保VPN状态正常:
c.服务配置IP及路由 Route add 192.168.200.0 mask 255.255.255.0 -p 192.168.100.1 Route add 2.0.1.0 mask 255.255.255.0 -p 192.168.100.1
验证下:
三、接入VPN验证 使用机房一新建的SSL VPN用户登录VPN,确诊是否可以访问到机房一和机房二的VPN资源。
使用ping测试:
三、注意事项 1、AF配置的地址转换后,如果地址转换不生效,需要检查应用控制策略之间的区域是否放通。 2、配置了SSL VPN策略后,使用Ping测试发现不通的话,在vpn接口也抓不到包,检查发布的资源是否有添加ping资源。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-2-22 11:24
技术专家4级 
